云计算安全与隐私
2011-6
机械工业出版社华章公司
Tim Mather,Subra Kumaraswamy,Shahed Latif
292
刘戈舟,杨泽明,刘宝旭
无
前言2008年2月,在美国特勤局旧金山办事处召开的电子犯罪特别工作组季度会议上,我偶然遇见Sun Microsystems公司的Subra Kumaraswamy。我和Subra都参加过一些这样的会议,并通过之前的类似专业活动相识。我们都是信息安全行业的从业人员,都在硅谷工作和生活了多年。Subra问我有什么打算,我告诉他:我正在考虑写一本关于云计算和安全方面的书。2008年2月,硅谷关于云计算的宣传已经铺天盖地了。对于云计算缺乏信息安全保证的声音也是不绝于耳。在我和Subra讨论之际,关于云计算安全方面还无法获得有实质内容的、论述清晰的资料。这也是我写本书的初衷。Subra告诉我,他也用了不少时间研究云计算,也感到相关信息匮乏。我问Subra是否有兴趣跟我一起写作,他慨然应允了。(鉴于以前经历过写书的苦恼,因此希望寻求一些经验丰富的人来帮助我,而Subra当然胜任于此。)于是本书的艰苦写作之旅便开始了。最初我们的写作是作为O'Reilly的另一本云计算书籍的一个章节。然而当我们非常仔细地读过O'Reilly的指导原则后发现,其实要写的不是一章而是两章,因此我们产生了另写一本完整讲述云计算安全与隐私的书的设想。O'Reilly接受了我们的建议,于是我们的工作量从最初的20页增加到200页左右。我们希望这本书成为此类书籍中第一个面市的,这不仅仅意味着工作量的增加,同时也要求我们能尽快完成。在2008年年底,我和Subra为硅谷不同的专业人士做了一系列演讲,讲述我们在云计算及其安全方面的研究成果,听众给予的好评令我们兴奋不已。没有人认为我们在技术上跑偏了,而且听众还十分渴望得到更多更详细的信息。在一次这样的演讲会后, KPMG的一个员工表示希望就云计算以及审计方面与我们进行更为深入的讨论。由于我们还需要进一步为这本书收集素材,我和Subra欣然接受了这次讨论。这次讨论并不像我们事先预想的那样。我们本希望可以从中了解到KPMG对于以云计算为基础的服务进行审计方面的考虑及发展趋势。然而真正讨论的问题却是——Shahed Latif,也就是我们现在的伙伴之一,希望我们接纳他加入到这本书的写作中来。经讨论后,我和Subra欣然同意了他的请求。因为我们需要关于审计方面的信息,而Shahed显然可以提供这方面的保障。Shahed在业界具有非常丰富的审计经验,同时也是KPMG的合作伙伴,为多家重要的云计算服务提供商提供一系列服务,我和Subra都非常熟悉这些服务提供商,这样我们便可以与那些服务提供商的信息安全人员进行相当广泛的讨论。此外,在工作上我早就认识Shahed。在我的职业生涯中,曾就职于 Apple、VeriSign和Symantec,那时都曾经与KPMG的审计部门有过接触。事实上,我做Symantec的首席信息安全官时,Shahed正好在KPMG的IT审计部门工作。就这样,Shahed加入了我们的团队。我们共同努力完成了本书的写作,使得本书有幸成为此类书籍中最先面市的。Tim Mather
《云计算安全与隐私》可以使你明白当把数据交付给云计算时你所面临的风险,以及为了保障虚拟基础设施和网络应用程序的安全可以采取的行动。本书是由信息安全界知名专家所著,作者在书中给出许多中肯的忠告和建议。本书的读者对象包括:IT职员、信息安全和隐私方面的从业人士、业务经理、服务提供商,以及投资机构等。阅读本书你会了解直到现在还严重匮乏的云计算安全方面的详尽信息。
《云计算安全与隐私》主要内容包括:
■ 评价云计算在数据安全和存储方面的现状。
■ 了解云计算服务在身份和访问管理方面的实践。
■ 发现相关的安全管理框架及标准。
■ 理解云计算中的隐私与传统计算模式中的隐私之间的异同。
■ 了解云计算中审计与合规的框架及标准。
■ 考察云计算安全与众不同的部分——安全即服务。
Tim
Mather,EMC公司安全部门RSA机构的前副总裁兼首席安全战略官,Symantec公司的前首席信息安全官。
Subra Kumaraswamy,信息系统安全认证专家(CISSP),在Sun
Microsystem公司掌管安全访问管理项目。
Shahed Latif,来自KPMG公司的咨询业务部门,负责西部地区的信息保护和业务恢复能力的事务。
前言
第1章 引言
小心空隙
云计算的演变
小结
第2章 什么是云计算
云计算的定义
云计算的SPI框架
传统软件模式
云计算部署模式
采用云计算的主要驱动因素
云计算对用户的影响
云计算的管理
企业采用云计算的障碍
小结
第3章 基础设施安全
基础设施安全:网络层面
确保数据的保密性和完整性
基础设施安全:主机层面
基础设施安全:应用层面
小结
第4章 数据安全与存储
数据安全
降低数据安全的风险
提供商数据及其安全
小结
第5章 身份及访问管理
信任边界以及身份及访问管理
为什么要用IAM
IAM的挑战
IAM的定义
IAM体系架构和实践
为云计算做好准备
云计算服务的IAM相关标准和协议
云计算中的IAM实践
云计算授权管理
云计算服务提供商的IAM实践
指导
小结
第6章 云计算的安全管理
安全管理标准
云计算的安全管理
可用性管理
SaaS的可用性管理
PaaS的可用性管理
IaaS的可用性管理
访问控制
安全漏洞、补丁及配置的管理
小结
第7章 隐私
什么是隐私
什么是数据生命周期
云计算中主要的隐私顾虑是什么
谁为隐私保护负责
隐私风险管理与合规在云计算中的变化
法律和监管的内涵
美国的法律法规
国际的法律法规
小结
第8章 审计与合规
内部政策合规
管理、风险与合规(GRC)
云计算的解释性控制目标
增加的针对CSP的控制目标
附加的密钥管理控制目标
CSP用户的控制考虑
监管/外部合规
其他要求
云安全联盟
审核云计算的合规性
小结
第9章 云计算服务提供商举例
Amazon Web Services(IaaS)
Google(SaaS,PaaS)
Microsoft Azure Services Platform(PaaS)
Proofpoint(SaaS,IaaS)
RightScale(IaaS)
Sun开放式云计算平台(Sun Open Cloud Platform)
Workday(SaaS)
小结
第10章 安全即(云计算)服务
起源
当今的产品
身份管理即服务
小结
第11章 云计算对于企业IT角色的影响
为什么云计算受到业务部门的欢迎
使用CSP的潜在威胁
解释云计算引起IT行业潜在变化的案例
使用云计算要考虑的管理因素
小结
第12章 结论以及云计算的未来
分析师的预测
云计算安全
对CSP客户的方案指导
云计算安全的未来
小结
附录A SAS 70报告内容示例
附录B SysTrust报告内容示例
附录C 云计算的开放安全架构
术语表
版权页:插图:20世纪80年代,针对理论物理学中格点规范的繁重计算,有人提出将各地的计算机主机联网进行协同计算,我记得那时的网络是指早期的DECnet。随着Internet的迅速发展,21世纪初由高能物理等领域的科学计算需求促使了网格技术的诞生,就像WWW网站实现了全球的信息资源共享一样,网格技术可以实现全球范围的计算机CPU、存储能力与数据等资源的共享,从而使得“CPU与存储资源可以像自来水与电力一样使用”的设想变成了现实。网格的出现是划时代的,在今天的科研所,如中国科学院高能物理研究所,网格计算已经运行了将近十年之久。网格计算有着强大的生命力,自然让人想到其在商业与社会的各个领域中的应用,但是安全问题导致这种商业应用迟迟未能实现,直到这几年,它才通过“云计算”的形式得以面世。云计算概念的出现立即引起了商业推动的热潮,它所提供的服务可能是强有力的,但安全问题依然是其应用的最大障碍。可以说网络的双刃剑从来没有像今天这样锋利。云计算的时代,互联网的安全防范在某些方面被改善,但在某些方面却被弱化。例如用户端的安全维护可能得以简化,但集中的“云”端却承受着更大的安全威胁。云计算服务能否实现对信息安全事件的应急处理依然是许多专家没能说清楚的。在众说纷纷之际,《云计算安全与隐私》英文版(Cloud Security and Privacy: An Enterprise Perspective on Risks and Compliance)是国外最早详细分析云计算存在的各种安全因素的通俗普及的著作,中文版整体翻译质量高,术语准确语言流畅,完整地展现了英文版的全貌。本书从介绍云计算的架构入手,仔细探讨了用户关心的安全问题,以及云计算提供商自身的安全隐患,并告诫我们应该对于云计算服务保持清晰的头脑。我国正在雄心勃勃地推动信息化与云计算的发展,它的终极目标应该与增强国民经济、科研教育和国家安全紧密结合。有志者事竟成,但如果我们对云计算自身的安全保障仍然是滞后的,甚至对可能的网络安全威胁估计不足,那么我们云计算的基础设施所承载的风险将是灾难性的,其结果只能是事倍功半。本书在我国云计算建设决策和实施的关键时刻出版,必将很好地促进我们对云计算复杂性的认识,鞭策我们去营造一片蓝天白云,即安全、健康地运营未来的云计算事业。
《云计算安全与隐私》是一本有重大影响的著作,它指导信息技术专业人员对可信“按需计算”的追求。云计算很有可能是未来二十年占主导地位的计算平台,管理云计算安全的人员需要阅读本书。 ——Jim Reavis,云安全联盟创始人之一兼执行董事随着对云计算需求的增长,安全和隐私将变得愈加重要。《云计算安全与隐私》探讨了应用云计算需要考虑的风险、趋势以及解决方案,是任何尝试接触和应用云计算的人员的必读物。 ——Izak Mutlu,Salesforce.com公司信息安全副总裁
《云计算安全与隐私》是机械工业出版社出版。
无
是有关云计算安全,包括安全即服务和云计算安全本省技术相关,原理、技术、产品等基本叙述比较全面,质量不错,值得阅读以!不过由于云计算的初级阶段,对于云计算描述还不够深入,即时可参考性有限。
国外云计算安全态势分析和安全措施建议。
不是很符合国内的情况。但不失为一经典。
本书非常及时,从事信息安全和云计算人士有必要看看。
阅读过许多云安全相关的书籍,感觉这本还是很值得一读的,写的比较专业
书里的内容深入浅出,有引用的链接出处,总之对自己还是有用有所启发的。
纸张一般,不过内容实在,讲的不错
增添不少知识
还好,了解云计算,安全与隐私。
云计算目前风风生水起,如火如荼的发展,其中安全问题不容小觑,书中提供的很对理念或许对现在的云计算安全研究有所帮助,而且也能引起更多的思考.
刚好想看看云计算安全方面的书籍,不过还真少,这本书总体还行吧
对于研究云计算安全的同志,推荐这本书
不错,挺全面的,不过不够细致。
云安全的介绍比较少,参考看看吧
一激动就买了,不太适合我,做科研用。
书才看了一半,值得一看,但毕竟是老外写的书,翻译有点生硬,太过尊重原文,而忽略了翻译的要诀——信雅达。
云计算所有的问题,归根结底,都会回归到安全问题上来只有真正解决了安全这个问题,云计算才可能长足发展
娘啊!我春节来了和另一个同学昏天暗地的翻译了一个月,今天发现,别人已经捷足先登了……悲催啊!哎,不过我翻译的时候貌似它还没有出版……
书译得不错,就是贵了点。发过来的货书脊上有点问题。
结构合理,内容详实,研究深入,值得阅读。
还不错的一本书,尤其是在这个啥啥都是云的年代。。
以前有看过目录,看了感觉内容也不错,可以学习学习
书很好,很满意,感谢
内容很全面,推荐阅读!对云安全人员有帮助
浪玉枪明显在做广告!